mercoledì 16 dicembre 2009

Accedere ad una rete Wi-Fi altrui

Una delle domande che mi viene posta con maggiore frequenza ultimamente è relativa ai rischi legati all'utilizzo della connessione wireless altrui. Oggigiorno infatti, mantenere reti Wi-Fi prive dei criteri minimi di sicurezza (es: utilizzo protocollo WEP, password deboli o addirittura inesistenti) è una pratica ancora ampiamente diffusa.
In un precedente articolo, abbiamo discusso a proposito dei potenziali rischi giuridici a cui si espone chi subisce un'intrusione sulla propria rete Wi-Fi e delle contromisure minime da adottare per evitare che ciò accada.
Oggi cercherò di affrontare il problema duale, ovvero a quali rischi di natura informatica e giuridica incorre chi si introduce abusivamente in una rete wireless altrui.
Rischi giuridici
Il reato che sembrerebbe configurarsi in questa fattispecie è sicuramente l'accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.).
C'è da dire che l'accesso abusivo prevede che il sistema oggetto della violazione sia “protetto da misure di sicurezza” e che, ovviamente, tali protezioni siano state in qualche modo eluse.
Non essendo richiesta nessuna adeguatezza in termini di misure di sicurezza, la semplice presenza di una protezione, anche se facilmente aggirabile (es: uso di password debole), costituisce un'esplicita ed inequivocabile manifestazione di volontà finalizzata a riservare l'accesso alle sole persone autorizzate a farlo.
Nessun reato sembrerebbe configurarsi nei casi di sistemi Wi-Fi open (privi di password). Il condizionale è d'obbligo per almeno 2 motivi:
  1. la materia è relativamente giovane per il nostro ordinamento giuridico, troppo spesso le sentenze hanno dato luogo a pareri contrastanti.
  2. l'accesso potrebbe essere considerato un fatto accessorio ed innescare delle responsabilità giuridiche a cascata (es: intercettazione abusiva di comunicazioni, frode informatica, danneggiamento di sistemi informatici, etc.)
Rischi informatici
Se nell'esporre i rischi precedentemente menzionati ho fatto ampio uso del condizionale, in questa sezione cercherò di essere incisivo ed immediato: chi utilizza un accesso Wi-Fi altrui si espone a rischi di sicurezza fuori di ogni misura.
Infatti, dietro l'access point a cui il vostro pc si collega potrebbe nascondersi una persona malintenzionata, con delle conoscenze informatiche leggermente al di sopra della media, in grado di effettuare quello che io chiamo wardriving passivo (il wardriving consiste nell'intercettare reti Wi-Fi).
Per comprenderne il meccanismo è bene sapere che accedere ad una rete Wi-Fi altrui equivale ad inserire un cavo in un punto rete altrui. Questa azione colloca inevitabilmente il proprio terminale all'interno della stessa rete privata dell'attaccante ed in quello che viene comunemente chiamato dominio di collisione o segmento di rete.
Il fatto di trovarsi nella stessa rete privata garantisce all'attaccante un elevato livello di trust da parte dei sistemi di protezione locali della vittima (es: firewall, anti-virus, etc.). Ogni servizio presente sul pc target, compreso il contenuto dell'hard-disk, sono, nella maggior parte dei casi, immediatamente messi ad uso e consumo dell'attaccante.
E fin qui, presi i dovuti accorgimenti, innalzato il livello di protezione, tutto sarebbe relativamente arginabile. La condivisione dello stesso segmento fisico di rete ha effetti a dir poco devastanti: nessuna misura di sicurezza è in grado di limitare il livello di esposizione (di fatto non vi è nessuna intrusione in atto che i sistemi possano rilevare).
In questo scenario l'unico limite di cui dispone l'attaccante è la fantasia: egli sarà in grado di sniffare (leggere) e modificare tutto il traffico di rete in transito da e verso la vittima. Questo lo metterà in condizione di impossessarsi di sessioni http[s] e di password, leggere numeri di carta di credito, messaggi di posta elettronica e di messaggistica istantanea, rubare i codici di accesso dell'home banking, etc.
Morale della favola: prima di appropriarsi della banda altrui, dopo averne attentamente valutato il rischio giuridico, pensate sempre che dall'altra parte dell'access point possa esserci qualcuno più furbo e più malintenzionato di voi

Nessun commento:

Posta un commento